Windows 10

Bewertung: 0 / 5

Stern inaktivStern inaktivStern inaktivStern inaktivStern inaktiv

Bewertung: 0 / 5

Stern inaktivStern inaktivStern inaktivStern inaktivStern inaktiv

Wie man Ereignisprotokolle von verschiedenen Rechnern in einem Netzwerk zentral einsammeln und auswerten kann, habe ich in einem früheren Artikel bereits beschrieben:

Event Collector (Sammlungsinitiiert) einrichten.

Nun stand ich vor dem Problem, dass ich die Ereignisprotokolle von Windows 10 Rechnern mit aktiviertem "Controlled Folder Access"  zentral einsammeln und auswerten wollte.

Mein Windows Server, der als Event Collector dient, kennt aber den Windows Defender Kanal nicht, da es diesen auf dem Server nicht gibt.

Mit einem kleinen Trick habe ich es aber dann doch geschafft, die Ereignisprotokolle an den Collector Server weiterzuleiten.

Hier die Schritte:

  • Auf einem Windows 10 Rechner in der Ereignisanzeige eine benutzerdefinierte Abfrage des gewünschten Protokolls erstellen und die XML Datei dann exportieren und am Collector Server importieren.

Event import 05

  • Am Collector Server erhält man dann nach dem Import der Abfrage eine Fehlermeldung, die besagt, dass der angegebene Kanal nicht gefunden wurde. Diese Meldung einfach ignorieren.

 Event import 03

Event import 04

  • Nun erstell man, wie in meinem früheren Artikel beschrieben, ein neues Abonnement und klickt  auf den Pfeil im Dropdown Menü "Ereignisse auswählen",

Event import 01

  • wählt "Von der vorhandenen benutzerdefinierten Ansicht kopieren"

Event import 02

  • und öffnet die gewünschte benutzerdefinierte Ansicht.

Event import 03

 

 

Bewertung: 5 / 5

Stern aktivStern aktivStern aktivStern aktivStern aktiv

Der kontrollierte Ordnerzugriff (Controlled folder access), der mit Windows 10 1709 eingeführt wurde, ist eine gute, ausbaufähige Implementierung zum Schutz vor Ransomware.

Verwenden von Gruppenrichtlinien zum Aktivieren des kontrollierten Ordnerzugriffs

  1. Öffnen Sie auf dem Computer mit der Gruppenrichtlinienverwaltung die Gruppenrichtlinien Verwaltungskonsole, klicken Sie mit der rechten
           Maustaste auf das Gruppenrichtlinienobjekt, das Sie konfigurieren möchten und klicken Sie auf Bearbeiten.
  2. Wechseln Sie im Gruppenrichtlinienverwaltungs-Editor zu Computerkonfiguration.
  3. Klicken Sie auf Richtlinien und dann auf Administrative Vorlagen.
  4. Erweitern Sie die Struktur bis Windows-Komponenten > Windows Defender Antivirus > Windows Defender Exploit Guard >
          Kontrollierter Ordnerzugriff
    .
  5. Doppelklicken Sie auf die Einstellung Kontrollierten Ordnerzugriff konfigurieren, und legen Sie die Option auf Aktiviert fest.
          Im Optionsabschnitt muss eine der folgenden Optionen angegeben werden.
    • Aktiviert – Schadsoftware und verdächtige Apps sind nicht berechtigt, Änderungen an Dateien in geschützten Ordnern vorzunehmen. Eine Benachrichtigung wird im Windows-Ereignisprotokoll aufgeführt
    • Deaktivieren (Standardwert) – Der kontrollierte Ordnerzugriff ist nicht aktiv. Alle Apps können Dateien in geschützten Ordnern ändern.
    • Überwachungsmodus – Wenn eine schädliche oder verdächtige App versucht, eine Datei in einem geschützten Ordner zu ändern, wird die Änderung zugelassen und im Windows-Ereignisprotokoll aufgezeichnet. Dadurch können Sie die Auswirkung dieses Features in Ihrem Unternehmen beurteilen.

Quelle: docs.microsoft.com

Weiterlesen: Windows 10 Controlled folder access

Bewertung: 0 / 5

Stern inaktivStern inaktivStern inaktivStern inaktivStern inaktiv

# OpenSSH Server installieren Add-WindowsCapability -Online -Name OpenSSH.Server~~~~0.0.1.0

# Dienst starten Start-Service sshd

# Starttyp auf "Automatisch" stellen

Set-Service sshd -StartupType Automatic

Set-Service ssh-agent -StartupType Automatic
Quelle: https://gist.github.com/f-bader/a682813a0466f2b304f750cd0b5ea267#file-enable-opensshserver-ps1

# PowerShell Core als Default Shell nutzen

New-ItemProperty -Path "HKLM:\SOFTWARE\OpenSSH" -Name DefaultShell -Value "C:\Program Files\PowerShell\6-preview\pwsh.exe" -PropertyType String -Force

# PowerShell Core als Subsystem hinzufügen

notepad "C:\ProgramData\ssh\sshd_config"

# Folgende Zeile im Bereich Subsystem ohne führende Raute einfügen

#Subsystem powershell C:/Program Files/PowerShell/6-preview/pwsh.exe -sshs -NoLogo -NoProfile

# Dienst neustarten

Restart-Service sshd

Quelle: https://gist.github.com/f-bader/a682813a0466f2b304f750cd0b5ea267#file-enable-powershellcoreopenssh-ps1

 

 

Altaro

Silver 164

Bücher

jarz Windows 10 klein
 

Copyright © winxperts4all.com. All Rights Reserved.